Chi protegge il CaCPA? Chi deve conformarsi?
Qualsiasi consumatore, definito come una “persona fisica residente in California”. Questo è ulteriormente definito come:
- Qualsiasi individuo si trova nello stato per qualsiasi scopo che non sia transitorio o temporaneo
- Qualsiasi individuo che vive nello Stato ma che attualmente o occasionalmente si trova fuori dallo Stato per uno scopo temporaneo o transitorio
Ciò significa che i consumatori che viaggiano verso o con residenza parziale in altri stati sarebbero protetti, purché la loro casa sia la California. Ciò significa anche che la legge si applica alle società “business-to-consumer” (B2C) e alle società “business-to-business” (B2B).
Un'"impresa" coperta è definita come un'entità a scopo di lucro che soddisfa 1 delle 3 seguenti condizioni.
- Guadagna $25 milioni o più di entrate annuali.
- Contiene i dati personali di almeno 50.000 persone, nuclei familiari o dispositivi.
- Ottiene almeno la metà dei propri ricavi vendendo dati personali. Vendere non significa semplicemente scambiare dati in cambio di contanti. La semplice divulgazione dei dati a terzi se comporta un guadagno finanziario è soggetta alla legge.
Il CaCPA afferma che devono soddisfare anche le seguenti 4 condizioni.
- Essere un'entità commerciale legale organizzata e gestita a scopo di lucro.
- Raccoglie le informazioni personali dei consumatori o fa sì che qualcuno le raccolga per suo conto.
- Determina le finalità e i mezzi del trattamento delle informazioni personali dei consumatori.
- Fa affari in California
Qualsiasi “attività a scopo di lucro” che supera questo test sarà soggetta alla legge, indipendentemente dalla sua posizione geografica. Secondo iapp si stima che la legge si applicherà a più di 500.000 aziende statunitensi, la maggior parte delle quali sono di piccole e medie dimensioni. Avrà un impatto anche sulle imprese al di fuori degli Stati Uniti, a condizione che svolgano la loro attività in California.
Qual è la sanzione per la non conformità?
Per le violazioni intenzionali non risolte entro 30 giorni, la sanzione va da $2.500 a $7.500 per violazione (ad esempio, per record nel database). Violazioni involontarie non risolte entro 30 giorni, i consumatori possono recuperare i danni per un importo non inferiore a cento dollari ($100) e non superiore a settecentocinquanta ($750) per consumatore per incidente o danno effettivo, a seconda di quale sia maggiore.
Il 20% delle sanzioni riscosse dallo Stato sarà destinato a un nuovo “Fondo per la privacy dei consumatori”. Eventuali fondi eccedenti le spese giudiziarie e di riscossione potranno essere collocati nel Fondo generale dello Stato dell'AC.
Da dove viene questa legge?
Il CaCPA è stato sottoposto a legislazione accelerata in soli 7 giorni ed è stato firmato poche ore prima della chiusura della sessione legislativa della California 2017-18. Veloce per una legge dalle ramificazioni così diffuse.
Questa corsa è stata in risposta a un'iniziativa elettorale molto più rigorosa proposta dall'imprenditore immobiliare di San Francisco Alistair Mactaggart. Mactaggart ha speso $3,5 milioni del proprio denaro per finanziare la misura di iniziativa n. 17-0039 che ha ricevuto più di 629.000 firme, più che sufficienti per inserire la questione nella votazione di novembre 2018.
In che modo il CaCPA definisce le “Informazioni personali”?
La definizione di informazioni personali del CaCPA è molto più ampia della definizione di PII e si allinea più strettamente con l'elenco più ampio del GDPR. È definita come "informazioni che identificano, si riferiscono a, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare". Oltre alle informazioni generalmente incluse nelle PII, includono anche:
- Dati di geolocalizzazione
- Informazioni sull'istruzione
- Informazioni audio, elettroniche, visive, termiche o simili
- Informazioni professionali e occupazionali
- Indirizzi IP
- Attività su Internet (ad esempio, cronologia di navigazione e delle ricerche, dati di monitoraggio web)
- Alias
- Caratteristiche delle classificazioni protette dalla legge della California o federale
- Informazioni commerciali (ad esempio, documenti di proprietà personale, cronologia degli acquisti)
- Inferenze tratte da una qualsiasi delle informazioni contenute nella definizione
Perché CaCPA
Pochi giorni prima che Mactaggart potesse certificare le firme, i democratici della California hanno accettato di promuovere un disegno di legge di compromesso in cambio dell’abbandono dell’iniziativa. I lobbisti dell’industria tecnologica ritengono che avranno maggiori possibilità di controllare la narrazione e l’impatto finale del CaCPA. I lobbisti dell'industria hanno concordato di non opporsi al disegno di legge poiché l'iniziativa elettorale molto meno favorevole aveva buone possibilità di passare più avanti nel corso dell'anno.
Cosa hanno ottenuto per la loro conformità?
- 18 mesi di tempo per fare pressioni su come riscrivere i dettagli della legge.
- Il legislatore CA può modificare il CaCPA con una maggioranza semplice invece della super maggioranza 70% richiesta dal CA Consumer Privacy Act del 2018.
- Il CaCPA rende più difficile per i consumatori citare in giudizio le imprese non conformi, affidando la maggior parte del controllo applicativo al procuratore generale dello stato della California.
- Il CaCPA colpisce più aziende, poiché ha abbassato la soglia della metà per le imprese con solo $25 milioni di entrate annuali.
“Le politiche di regolamentazione dei dati sono complesse e hanno un impatto su ogni settore dell’economia, compreso l’industria di Internet”, ha affermato il gruppo di pressione della Internet Association. “Ciò rende ancora più preoccupante la mancanza di discussione pubblica e di processo attorno a questo disegno di legge di vasta portata. In futuro è fondamentale che i politici lavorino per correggere le inevitabili conseguenze negative sulla politica e sulla conformità che questo accordo dell’ultimo minuto creerà sia per i consumatori che per le imprese della California”.
I vincitori e i vinti di questa parte di legislazione (10.660 parole) devono ancora essere determinati, a causa della massiccia riscrittura dei dettagli in corso proprio ora. È molto probabile che il nuovo e migliorato CaCPA si applicherà principalmente alle piccole e medie imprese, quelle che non possono permettersi i lobbisti costosi e le loro ingenti spese. Questo disegno di legge scritto in fretta e rivisto a malapena da chiunque altro che non sia i suoi autori, con i suoi numerosi errori di battitura e il testo scritto male, è stato approvato dal governatore Brown il 28 giugnoth 2018. Il 24 agostoth appena 57 giorni dopo arrivarono i primi 45 emendamenti. Tali modifiche miravano principalmente a correggere gli errori tecnici. Prepararsi.
Fonti: disegno di legge n. 375, iapp Il consigliere per la privacy, New York Times, FairWarning